北京安域领创科技有限公司资深顾问王峰

　　非常有幸能跟各位介绍我们在这个攻防角度的数据安全的一些研究成功。讲起数据安全无非就是保证这个数据的高度可用性、机密性、完整性，那么影响这些属性的一些外来的和内在的因素包括哪些呢？我想比如说软件故障、硬件故障、人为的误操作，那么如此之外呢，还有真正的供给的角度。那我今天就是想讲一下从攻击和防御的角度，如何来保证我们的数据来安全、正常地使用。
　　事实上从这个发生的数量来看，由于攻击而产生的数据破坏损失案例其实远远少于我们平常发生的故障或者软硬件故障，但是它造成的影响却是非常恶劣和巨大的。我们看两个案例，第一个案例是2007年的6月，这是一个商业银行的信用卡的4万多张的信用卡的帐号被泄漏了。事实上这个银行并不是第一天开业，他事实上这个信用卡可能用了很多年了，那么为什么会出现这样的问题呢？事实上他利用了这个代码中，这个银行网上信用卡的代码中存在的SQL数据库配比不当的弱点，它并不是一无所有地裸奔在这个互联网上，它有比如说防火墙、IDS，这些安全设备它都是齐全的，但是它存在着另外一个层面的问题，我们讲是应用和数据库配置方面的问题，那么你看这个底下，我就看到简单的用户名、ID、帐号的密码都看到了。
　　那么具体的安全隐患首先是他应用了注入的攻击，来获取了数据库的一些表，然后利用了数据库配置本身的比如说数据字典的问题，或进一步获取了ID，那么主要是获取了结构，包括它比如说字典的结构、ID的结构等等这些内容。那这种问题在整个的应用安全中发生的概率比较高。
　　那么再看一下第二个案例，第二个案例是一个网上银行，它的正常页面是这样子的，就是返回一个系统错误的页面，包括比如说错误代码、错误信息等等这样的一个东西，还有一些提示信息，但是当某一天被攻击之后，它的页面变成这样了，它给出了一个链接，当一个用户看到这个页面的时候，他不由自主地会点一下网银详细点击这一个链接，就发现他已经跳到了一个不知名的网站，这个网站上存在着各种各样的网银的木马。那么这是用了一个什么样的弱点，导致了这个银行的页面被这样地非法地篡改呢？事实上他用了一种叫做跨站脚本攻击的这么一个弱点，他非法地把这个页面替换了。那么他首先也是代码注入了攻击，然后注入了应用程序代码，进一步获取的用户的敏感信息。那么举这两个例子来说就是说，事实上我们现在的网上业务或者说内部的一些业务包括数据，并非是我们想象中那么安全，其实这些类似的事情，在8年前或者10年前也发生过，那个时候我们对安全并不是那么重视，可能还没有防火墙，没有IDS，没有典型的安全设备，那时候我们很多服务器就是搭建在互联网上，我记得那个时候有很多的小孩子，18、19岁，就拿着扫描器，去一个B网段、一个C网段这么扫，结果有很多的网上服务器就被获取了权限，被当作了什么影片发布服务器等等，或者游戏服务器。那个时候问题存在在操作在操作系统层面，就是操作系统比如说微软的系统或者UINUX或者LINUX，它存在一些比如说远程溢出的漏洞，或者简单的就是帐号口令的问题。
　　那么经过这十年的安全建设，几乎所有搭在网上的这种业务系统都有比如说防火墙甚至很高端的防火墙，IDS这些安全设备，为什么还会存在这些问题呢？为什么？事实上这是由于攻防的一个循环，这些攻击者发现了我们在这个系统上的另一个层面的问题，防火墙你可以挡得住，比如说你把所有的端口都关掉只留一个80，你可以把所有操作系统层面的问题都屏蔽掉，但是你无法屏蔽应用和数据库方面的问题，网上银行、网上证券你必须对外服务，80端口你是封不掉的。那这个时候你的应用程序的开发的质量，你数据库配置的质量就存在了问题了。那么我们现在面临的数据保护的这个安全风险呢客观上说并不比八年或者十年前更低，为什么呢？因为我们在这个应用和数据库的防护方面还刚刚起步。
　　这是一个统计数据，目前的这种应用和数据库或者说这个真正的攻击的成功的攻击，85%来自于应用和数据库层面的攻击，为什么呢？这个是这样子，就是说任何一个开发者或者系统开发商，他都会有一些问题，比如说微软对比一下，微软开发Windows操作系统20多年了，他每年不停地打补丁，你怎么能够保证你国内的一个开发商，或者说国内的一个并不是那么非常严格的一个开发商，他开发的应用系统不存在这样的应用层面的问题呢？这是显而易见地它会存在应用和数据库层面的弱点，那么具体来看是因为几个方面的原因。
　　第一个方面的原因就是应用的开发、开放性，你无法用防火墙这种典型的安全设备去屏蔽掉，第二个是应用的唯一性，Windows系统可能整个世界有几万人或者几十万人在疯狂地找它各种各样的漏洞并且把它公布出来，你可以去打补丁，但是应用系统不是这样，某公司给您开发了一个网上银行系统，不会也多少人去关注这个系统本身的问题，不会有几万个或者几千个这样的一个开发者或者软件爱好者去帮你寻找漏洞，不会是这样子的，那么它没有通用的解决方案。这时候我们需要自己去找这些应用程序的问题，另外一个应用和数据库本身的脆弱性。
　　那么我们怎么样解决这个问题呢？在整个系统中，我们讲在整个系统中应用为王、数据为基，我们怎么样解决这些问题呢？它现在已经眼看面临这些问题了，我们怎么样解决这些问题呢？第一个我们是去发现它，那么在这个应用层面的问题，具体包括哪些？给大家简单介绍一下。事实上这些问题呢，也是随着技术进步带来的，由这个CS，很多的系统我们现在由原来的CS改为BS架构了，它当然带来了很多的优点，比如说比较容易地访问，比较有高度的可移植、跨平台等等这些问题，那么事实上它也带来了很多的安全问题，比如说网络钓鱼、发布虚假信息，刚才我讲的注入，数据库的信息泄漏、跨站脚本攻击等等这些内容。
　　具体的话可以分为几个层面，一个层面就是应用程序的弱点，它包括技术弱点和逻辑问题，技术弱点呢主要是指应用程序在开发中的比如说过滤得不够，或者说开发的这个严谨性不够，导致了一些SQL注入这样的漏洞或者跨站脚本的漏洞。再有一个是逻辑问题，在应用和时间业务的过程当中，应用逻辑它存在可以绕过的地方，或者说可以有无效的地方，再有一个是数据库配置的弱点，比如说数据字典的配置，比如说帐号的配置等等这些问题看一下，这是我们理出来的一系列的，关于应用程序本身的弱点，包括验证的方式，比如说他对这个号的验证，这是最简单的，可能大多数已经过滤掉了，那还有其他的一些更长的字段，比如无线长字段的这种过滤也有，比如说密码策略、凭证处理，那么还有输入数据的验证，最典型或者最多的就是这个SQL的注入。那么其次的比如说跨站脚本等等这些内容。
　　那么再有一个比如说设计规范上的问题，整个系统的路径被暴露出来了，比如说我打了一串复杂的字符出来，它返回来的页面是你整个的部署路径，那这个时候就很轻易地获取比如说你的数据字典所在的位置，那么好比说权限结构、目录浏览等等这些问题。
　　那么数据库配置本身的弱点呢，这个我不是指数据库自身的问题，而是配置过程当中，比如说数据库的权限配置，比如说应用系统它可能不需要很高的权限去读取所有的表，但是你为了比如说使用起来方便，你配置了一个很高的权限，数据库应用很容易读取你所有的包括数据字典，包括你的数据库本身的帐号权限的这些一些权限，那可能是不必要的，当我比如说我非法地获取了这个应用系统的权限的时候，我就进而地可以破坏你的数据库。那么除此之外还有比如说运行状况、连接缓冲等等这些方面都是可以利用的。
　　那么我们怎么样发现这个问题呢？我们使用三个方法。第一个方法就是对应用系统进行扫描，用我们已发现的各种各样的特征库，这跟传统的扫描是非常相似的，只是对象不同。原来的扫描对象是操作系统，比如说Windows、UINUX这样的操作系统，那么我们现在扫描的对象就是我们的应用系统、ERP系统、网银、网站系统，都是我们的应用系统，就是我们的扫描对象。那么第二个就是数据库的配置的审计，第三个是应用系统的安全逻辑的分析。那么这是三个方面的内容，数据库审计，应用系统的安全逻辑的分析。
　　那么我简单就是介绍一下整个的应用安全方面的问题，总而言之呢就是说，通过技术的发展和研究我们发现了就是说，除了操作系统层面以外的问题，应用和数据库本身的这些问题，包括应用程序的问题、应用逻辑以及数据库的配置，这三方面的问题可能会导致您的数据保护存在风险。那我们提出三个方面的解决办法，一个是数据应用的扫描，数据库的审计，然后包括这个业务逻辑的分析，这是三个方面的方法，我们提供了相应的解决方案，事实上我们开发了一整套的应用和数据库的一个评估系统。这个是2006年发布的，我们在2006年美国的黑帽子的大会上，也去参展获得这么一个评价，应该是当时一个最好的工具了，经过两年的发展还有一个进步这么一个东西。那么这是我们典型的支持的数据库的类型，应该是主流的数据库全部都是支持的。
　　那么比如说在应用系统弱点扫描这一方面，支持任何基于开放协议的应用系统，WEB、ERP、SL都没有问题。那么应用系统语言无关，比如说你是JSP的、ASP的都没有关系，完全的黑盒测试。
　　那么数据库审计呢这是刚才我讲过的，这是主流的数据库，那么我们可以获得哪些内容呢？通过这个评估系统你可能可以获得数据库的帐号，整个数据库的结构、数据库相关的配置选项这都是可以获得的，那么我想大家都是内行，获得这些以后，那么你的数据的保密性起码是已经丧失了。那么除此之外呢，还能够进一步地对应用系统的安全逻辑进行分析，还原SL的数据流并进行分析等等这些内容。
　　讲这么多无非是说我们的产品还是有一些优势，我想这些都不足以证明我们的实力，比如说误报的机制，因为应用程序的扫描的漏洞它会有很多的报，可能几千条，但是它真实率可能没有那么多，因为很多的可能应用有问题，但是数据库配置得很好，它也不会对你的系统造成什么风险，不会导致你的数据丧失，那我们可以提供一些方法就是说，我可以验证一下，我扫描出来以后，我进一步地比如说右键点一下，进入一下渗透测试，验证一下这个漏洞是否真正地可以被利用，比如说SL的系统难以对付，认证的系统不能扫描，这些都不是问题，这些对我们现在的这个系统，都可以轻松地扫描的。那么速度也非常快，一般来说半个小时一个很大的系统都可以扫完了。
　　那么事实上这是一个简单的用户页面了，事实上我说这些可能都不是能够证明我们的实力的，毕竟是而听为虚、眼见为实，那么今天没有时间给大家演示，如果大家有兴趣的话可以联系我们的销售，出了左边这个门诱拐就是我们安域领创公司的展台，可以联系我们的销售，可以到你们的，比如说您有您的网上银行，或者说是您的ERP系统关注，那么我们可以现场测试一下，到底您这个系统是不是像我所说的，85%的可能性都存在这些应用层面的问题，您不需要给我特殊的这种比如说架构等等都不需要，您给我一个IP或者说一个网址，你哪怕前面布了10道或者20道防火墙都没有关系，我们可以去测一下，眼见为实，看看我们的系统是否能确实解决您的应用和数据库方面的一些安全问题。
　　我今天的介绍就到此为止，谢谢大家。